Les cybercriminels ciblent les personnes travaillant sur le Web 3 avec de fausses réunions d’affaires à l’aide d’une plate-forme de visioconférence frauduleuse qui infecte Windows et Mac avec des logiciels malveillants de vol de crypto.

La campagne est baptisée « Meeting » d’après le nom couramment utilisé par le logiciel de réunion et est en cours depuis septembre 2024.

Le malware, qui a à la fois une version Windows et une version macOS, cible les actifs de crypto-monnaie des victimes, les informations bancaires, les informations stockées sur les navigateurs Web et les informations d’identification du trousseau (sur Mac).

Meeten a été découvert par Cado Security Labs, qui avertit que les acteurs de la menace changent constamment de nom et de marque pour le faux logiciel de réunion et ont déjà utilisé des noms tels que « Clusee », « Cuesee », « Meetone » et « Meetio ». »

Site web diffusant un voleur réaliste

Ces fausses marques sont soutenues par des sites Web apparemment officiels et des comptes de médias sociaux remplis de contenu généré par l’IA pour ajouter de la légitimité.

Les visiteurs se retrouvent sur le site par hameçonnage ou ingénierie sociale et sont invités à télécharger ce qui est censé être une application de réunion mais, en réalité, c’est un véritable voleur.

« Sur la base des rapports des cibles, l’arnaque est menée de plusieurs manières. Dans un cas signalé, un utilisateur a été contacté sur Telegram par une personne de sa connaissance qui souhaitait discuter d’une opportunité commerciale et planifier un appel. Cependant, le compte Telegram a été créé pour usurper l’identité d’un contact de la cible. Plus intéressant encore, l’escroc lui a envoyé une présentation d’investissement de la société cible, indiquant une arnaque sophistiquée et ciblée. D’autres rapports d’utilisateurs ciblés signalent des appels liés au travail Web3, le téléchargement du logiciel et le vol de leur crypto-monnaie.

Après le premier contact, la cible serait dirigée vers le site Web de Meeten pour télécharger le produit. En plus d’héberger des voleurs d’informations, les sites Web de Meeten contiennent du Javascript pour voler de la crypto-monnaie stockée dans les navigateurs Web, avant même d’installer un logiciel malveillant. »

❖ Sécurité Cado

En plus du logiciel malveillant réel, Cado indique que les sites Web « Meeten » hébergent du JavaScript qui tente de drainer les portefeuilles qui se connectent au site.

Cibler les Mac et les Fenêtres
Les personnes qui choisissent de télécharger la version macOS du logiciel de réunion obtiennent un package nommé « CallCSSetup ».pkg, ‘ mais d’autres noms de fichiers ont également été utilisés dans le passé.

Lorsqu’il est exécuté, il utilise l’outil de ligne de commande macOS ‘osascript’ pour demander à l’utilisateur d’entrer son mot de passe système, ce qui entraîne une augmentation des privilèges.

Invite de mot de passe servie aux utilisateurs

Après avoir entré le mot de passe, le logiciel malveillant affichera un message leurre indiquant: « Impossible de se connecter au serveur. Veuillez réinstaller ou utiliser un VPN. »

Cependant, en arrière-plan, le malware réaliste vole des données hébergées sur l’ordinateur, notamment:

  • Informations d’identification Telegram
  • Détails de la carte bancaire
  • Informations d’identification du trousseau
  • Cookies de navigateur et informations d’identification de remplissage automatique de Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc et Vivaldi
  • Portefeuilles Ledger et Trezor

Les données sont d’abord stockées localement dans un dossier, compressées et finalement exfiltrées vers une adresse distante avec les détails de la machine tels que le nom de build, la version et les informations système.

La variante Windows de Realist est distribuée sous la forme d’un fichier Nullsoft Scriptable Installer System (NSIS), nommé ‘ MeetenApp.exe,  » et il est également signé numériquement à l’aide d’un certificat volé de Brys Software.

Signature numérique des charges utiles

Le programme d’installation contient une archive 7zip (« app-64 ») et le noyau d’une application Electron (« app.asar ») qui contient du JavaScript et des ressources, compilé à l’aide d’un Bytenode en bytecode V8 pour échapper à la détection.

L’application Electron se connecte à un serveur distant sur « delivery network[.] observer  » et télécharge une archive protégée par mot de passe (« AdditionalFilesForMeet.zip) contenant un profileur de système (« MicrosoftRuntimeComponentsX86.exe ») et la charge utile principale du malware (« UpdateMC.exe »).

Informations système collectées par le malware

L’exécutable basé sur Rust tente de collecter les informations suivantes, de les ajouter à un fichier ZIP et de les exfiltrer:

  • Informations d’identification Telegram
  • Détails de la carte bancaire
  • Cookies de navigateur, historique et informations d’identification de remplissage automatique de Google Chrome, Opera, Bravo, Microsoft Edge, Arc, CocCoc et Vivaldi
  • Portefeuilles Ledger, Trezor, Phantom et Binance

Par rapport à mac OS, la version Windows dispose d’un mécanisme de livraison de charge utile plus élaboré et polyvalent, d’une meilleure évasion et de la possibilité de persister entre les redémarrages grâce à la modification du registre.

Dans l’ensemble, les utilisateurs ne doivent jamais installer les logiciels recommandés par les utilisateurs via les réseaux sociaux sans d’abord vérifier si le logiciel est légitime, puis l’analyser sur un outil antivirus multimoteur comme VirusTotal.

Ceux qui travaillent dans Web3 sont particulièrement vulnérables, car l’ingénierie sociale est une tactique courante utilisée pour établir une relation avec des cibles dans cet espace, puis finalement inciter les cibles à installer des logiciels malveillants pour voler de la crypto-monnaie.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *